La empresa ESET lanzó una guía básica de ciberseguridad para pequeñas empresas que contiene los siguientes puntos a seguir.
- Analice sus activos, riesgos y recursos.
- Cree sus propias políticas.
- Elija sus controles.
- Implemente los controles.
- Capacite a sus colaboradores, ejecutivos y proveedores.
- Evalúe, audite y pruebe.
El fabricante afirma que el 70% de las violaciones de seguridad están dirigidas a las pequeñas y medianas empresas, y que a pesar de ello, muchos empresarios creen que no son vulnerables a los ataques informáticos debido a su tamaño y número de activos.
Sabemos hoy en día que principalmente los atacantes buscan robar información de cuentas, datos de tarjetas de crédito, números de cuentas bancarias, claves de acceso a banca online, cuentas de correo y credenciales de usuario. Cuando logran obtener la información deseada es cuando realizan fraudes y provocan pérdidas millonarias a las empresas.
La realidad de las cosas es que las pequeñas y medianas empresas están comenzando a tomar conciencia de los riesgos informáticos actuales, por lo que algunas se dan a la tarea de invertir un poco en seguridad, pero como he escuchado en varias ocasiones "Poquito porque se acaba", esta ideología es la que resulta en pérdidas mayores, convirtiéndose en "Mucho porque se acabó", creo que el hecho de que una empresa se vuelva totalmente consciente de los riesgos es un proceso que tardará en desarrollarse un par de años más.
Es importante mencionar que en el documento también se hace énfasis en la implementación de un doble factor de autenticación o autenticación en dos fases (2FA) ya que añade una capa adicional de seguridad, requiriendo al usuario ingrese una clave de un solo uso (TOTP), muchas brechas de seguridad de los últimos meses pudieron haberse evitado si los usuarios hubieran tenido un doble factor de autenticación.
Bien, vamos a resumir los pasos que ESET recomienda en su documento y creo que ayudarán bastante a una empresa a poder tener controles de seguridad.
Analice sus activos, riesgos y recursos.
Se recomienda realizar un listado de todos los activos informáticos incluyendo móviles y los servicios en la nube, priorice, clasifique y enumere cada uno de ellos conforme al daño que podrían causar en el negocio.
¿Pero porque los móviles?, en el estudio, el fabricante comenta que el 60% de los empleados evitan las funciones de seguridad en sus dispositivos móviles y el 48% deshabilita la configuración requerida por la empresa.
Cree sus propias políticas.
Un programa de seguridad comienza con la aplicación de políticas, y los Directivos son quienes deberían de aprobarlas. Es por eso que debe de convencerlos de los controles que piensa implantar, por ejemplo, No permitir el acceso a los sistemas de datos corporativos a cualquier persona (Segregar funciones como RBAC o Acceso basado en roles) o también, poner un control para que los usuarios no puedan desactivar su antivirus corporativo.
Elija sus controles.
Usar controles para hacer cumplir las políticas, esto quiere decir que si queremos que los usuarios no tengan permisos de administrador en sus equipos, debemos de generarles cuentas sin privilegios en cada uno de ellos, otro ejemplo, si queremos permitir que los colaboradores se conecten a la red corporativa con su celular, deberán de tener instalado el software de protección de la empresa y cumplir con los lineamientos que se asignaron en la política.
Implemente los controles.
Cuando implemente estos controles, asegúrese de que funcionen correctamente, deberá de hacer pruebas para quedar totalmente seguro de que hacen lo que deben de hacer. El control principal deberá de ser el anti malware de los equipos.
Capacite a sus colaboradores, ejecutivos y proveedores.
Sus colaboradores necesitan saber más que las políticas y los procedimientos de seguridad de la empresa, invierta en capacitación y concientización sobre ciberseguridad, es la medida más importante y efectiva que una empresa puede implementar.
Evalúe, audite y pruebe.
Para cualquier empresa, la seguridad es un proceso continuo, debe de mantenerse actualizado en temas de ciberseguridad para poder aplicar las actualizaciones a sus políticas y controles, por lo menos una vez al año.
Considere contratar un consultor externo para realizar una auditoria de seguridad para detectar los puntos débiles.
De todos los puntos anteriores estoy totalmente de acuerdo en que deben de implantarse, y si aún no cuentas con ellos, ¡hazlo pronto! puedes lamentarte después.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.